在发布问题How to make a website secured with https后,我的问题来自SSL信息的溢出。
A已经看到很多用ASP.NET Web API或MVC编写的网站示例,它们以编程方式将HTTPS授权嵌入到网站中。我也知道如何在IIS上启用HTTPS。
我正在开发一个网站并将HTTPS放入我的控制器中。以下我在pluralsight.com上观看的视频中,我在WebAPI上为我的网站添加了HTTPS。一位同事问为什么我花时间这样做,因为我只是在IIS服务器上启用它。
我不知道为什么会这样做,但我看到了两者的例子。从初级开发人员的挫折中,我可以在服务器上启用HTTPS并保护其免受未加密连接的影响吗?
我假设有人可能会劫持服务器并发出我可以 阻止在我的网站上使用的证书以编程方式在我的网站上启用HTTPS,除了服务器之外,它还将在客户端上。
答案 0 :(得分:0)
网站安全性和Web服务器安全性是两个重叠的领域。因此,为了解决您的问题,您应该研究这两个方面,看看哪些是主张风险和采取补救行动的典型措施。
一般来说,HTTPS是一种加密客户端/服务器通信,验证服务器和/或客户端身份的方法。所以它属于网站安全领域。
您的同事可能会注意到这样一个事实,即无论网站的安全程度如何,服务器安全性都是一个完全独立的区域。但是你应该知道,如果一个站点不安全,它也可能是托管它的Web服务器的致命弱点(例如,整个服务器可能因为其上的站点被黑客攻击而受到攻击)。
信息安全是一个非常复杂的概念,所以我不能用这么简短的答案向你揭示每个方面,但希望它可以帮助你理解一些基本事实。